DE102009058518A1 - Verfahren und Vorrichtung zum Überwachen eines Produktion-Steuerrechners - Google Patents

Verfahren und Vorrichtung zum Überwachen eines Produktion-Steuerrechners Download PDF

Info

Publication number
DE102009058518A1
DE102009058518A1 DE102009058518A DE102009058518A DE102009058518A1 DE 102009058518 A1 DE102009058518 A1 DE 102009058518A1 DE 102009058518 A DE102009058518 A DE 102009058518A DE 102009058518 A DE102009058518 A DE 102009058518A DE 102009058518 A1 DE102009058518 A1 DE 102009058518A1
Authority
DE
Germany
Prior art keywords
production control
control computer
security check
production
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102009058518A
Other languages
English (en)
Inventor
Rainer Dr. 85435 Falk
Steffen 85598 Fries
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE102009058518A priority Critical patent/DE102009058518A1/de
Priority to PCT/EP2010/066971 priority patent/WO2011082863A1/de
Publication of DE102009058518A1 publication Critical patent/DE102009058518A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B9/00Safety arrangements
    • G05B9/02Safety arrangements electric
    • G05B9/03Safety arrangements electric with multiple-channel loop, i.e. redundant control systems
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Abstract

Die Erfindung betrifft ein System zur sicheren Herstellung von Produkten mit mindestens einem Produktion-Steuerrechner, der einen Produktion-Steuervorgang zur Herstellung der Produkte durchführt, wobei für den Produktion-Steuervorgang eine Sicherheitsüberprüfung durch eine Sicherheitsüberprüfungseinheit erfolgt, welche verifiziert, ob sich der Produktion-Steuerrechner während des Produktion-Steuervorganges in einem integeren Zustand befindet.

Description

  • Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Überwachung mindestens eines Produktion-Steuerrechners zur Herstellung von Produkten.
  • Produktion-Steuerrechner können zur Durchführung von Produktion-Steuervorgängen eingesetzt werden, bei denen beliebige Produkte bzw. Gegenstände industriell gefertigt werden. Ein Produktion-Steuerrechner kann beispielsweise eine Fertigungseinheit steuern, die über Aktoren und Sensoren verfügt. Dabei gibt der Produktion-Steuerrechner Steuersignale an die Fertigungseinheit ab, welche die Aktoren der Fertigungseinheit steuern und empfängt von der Fertigungseinheit Mess- bzw. Sensorsignale von den Sensoren der Fertigungseinheit. Der Produktion-Steuerrechner ist dabei über ein Netzwerk mit der Fertigungseinheit verbunden und führt zeitnah oder in Echtzeit einen Produktion-Steuervorgang zur Herstellung von Produkten bzw. Gegenständen durch. Bei den Gegenständen bzw. Produkten kann es sich um beliebige Produkte handeln, beispielsweise mechanische Gegenstände, wie Bauteile, oder chemische Produkte, wie beispielsweise Tabletten, pulverförmige oder flüssige Produkte.
  • Tritt in einem Steuerprogramm des Produktion-Steuerrechners ein Fehler auf, führt dies zu einem fehlerhaften Produktion-Steuervorgang und schließlich zu fehlerhaft hergestellten Produkten. Darüber hinaus kann ein fehlerhafter Produktion-Steuervorgang auch die Sicherheit von Mitarbeitern des Herstellers und vor allem auch von Abnehmern der Produkte gefährden. Beispielsweise kann ein fehlerhafter Produktion-Steuervorgang dazu führen, dass Aktoren der Fertigungseinheit im Bereich der Fertigungseinheit befindlichen Arbeiter gefährden. Weiterhin kann ein fehlerhafter Produktion-Steuervorgang zu Fehlern bei den Produkten führen, die bei dem Abnehmer des Produktes einen Schaden verursacht. Besteht beispielsweise der Produktionsvorgang in der Herstellung von Medikamenten bzw. Tabletten, kann ein fehlerhafter Produktion-Steuervorgang zu einer fehlerhaften Dosierung von Substanzen innerhalb des Produktes führen, der beim Endabnehmer, der das Medikament einnimmt, zu Gesundheitsschäden führen kann.
  • Ein Fehler bei der Steuerung des Produktion-Steuervorgangs durch den Produktion-Steuerrechner kann aufgrund einer fehlerhaften Konfigurationseinstellung des Produktion-Steuerrechners entstehen, wobei ein derartiger Konfigurationsfehler sowohl unabsichtlich hervorgerufen werden kann oder auch infolge eines Angriffs durch einen böswilligen Dritten. Weiterhin kann ein fehlerhafter Produktion-Steuervorgang durch eine beabsichtigte oder nicht beabsichtigte Beeinflussung der Kommunikation des Produktion-Steuerrechners mit der von ihm gesteuerten Fertigungseinheit entstehen. Beim Auftreten von Fehlern kann man für das Steuerprogramm des Produktion-Steuerrechners, sofern diese Fehler bemerkt werden, sogenannte Sicherheitspatches zur Behebung der Programmfehler einspielen. Allerdings bleiben fehlerhafte Produktionsvorgänge unter Umständen für eine längere Zeit unbemerkt, so dass die fehlerhaften Produkte bis zu dem Kunden gelangen und dort Schäden hervorrufen können. Gegenüber Angriffen durch Dritte besteht bisher nur die Möglichkeit, einen Produktion-Steuerrechner in einem geschlossenen abgeschotteten Netzwerk zu betreiben. Allerdings müssen auch derart abgeschottete Netzwerke gewartet werden, wobei Wartungsgeräte bzw. Wartungsrechner an das Netzwerk angeschlossen werden, die unter Umständen eine schadhafte Software bzw. einen Virus oder dergleichen aufweisen.
  • Es ist daher eine Aufgabe der vorliegenden Erfindung, ein Verfahren und eine Vorrichtung zum Überwachen eines Produktion-Steuerrechners zu schaffen, bei der die Sicherheit gegenüber fehlerhaften Produktion-Steuervorgängen erhöht wird.
  • Diese Aufgabe wird erfindungsgemäß durch ein Verfahren mit den in Patentanspruch 1 angegebenen Merkmalen gelöst.
  • Die Erfindung schafft ein Verfahren zum Überwachen mindestens eines Produktion-Steuerrechners,
    wobei zu einem durch den Produktion-Steuerrechner durchgeführten Produktion-Steuervorgang zur Herstellung von Produkten mindestens eine Sicherheitsüberprüfung erfolgt, welche verifiziert, ob sich der Produktion-Steuerrechner während des Produktion-Steuervorganges in einem integeren Zustand befindet.
  • Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens erfolgt die Sicherheitsüberprüfung direkt durch Auswerten von Konfigurationsdaten des Produktion-Steuerrechners.
  • Bei einer alternativen Ausführungsform des erfindungsgemäßen Verfahrens erfolgt die Sicherheitsüberprüfung indirekt durch Beobachten eines Kommunikationsverhaltens des Produktion-Steuerrechners.
  • Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens erfolgt die Sicherheitsüberprüfung durch eine Sicherheitsüberprüfungseinheit, die in dem Produktion-Steuerrechner enthalten bzw. darin integriert ist.
  • Bei einer alternativen Ausführungsform des erfindungsgemäßen Verfahrens erfolgt die Sicherheitsüberprüfung durch eine Sicherheitsüberprüfungseinheit, die mit dem Produktion-Steuerrechner, beispielsweise über ein Netzwerk, verbunden ist.
  • Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens wird das Kommunikationsverhalten des Produktion-Steuerrechners anhand von Eingabesignalen an den Produktion-Steuerrechner und/oder anhand von Ausgabesignalen, die von dem Produktion-Steuerrechner abgegeben werden, beobachtet und anschließend durch die Sicherheitsüberprüfungseinheit ausgewertet.
  • Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens werden die Eingabe- und/oder Ausgabesignale des Produktion-Steuerrechners rückwirkungsfrei erfasst und an einen zweiten identisch implementierten Produktion-Steuerrechner übertragen, wobei die Sicherheitsüberprüfungseinheit die Sicherheitsüberprüfung direkt durch Auswerten von Konfigurationsdaten des zweiten Produktion-Steuerrechners oder indirekt durch Beobachten eines Kommunikationsverhaltens des zweiten Produktion-Steuerrechners durchführt.
  • Bei einer Ausführungsform des erfindungsgemäßen Verfahrens empfängt der zweite identisch implementierte Produktion-Steuerrechner die erfassten Ein- und/oder Ausgabesignale der überwachten Produktion-Steuerrechners synchron mit einer Signallaufzeitverzögerung.
  • Bei einer alternativen Ausführungsform des erfindungsgemäßen Verfahrens empfängt der zweite identisch implementierte Produktion-Steuerrechner die erfassten Ein- und/oder Ausgabesignale des überwachten Produktion-Steuerrechners asynchron, beispielsweise nach Abschluss des Produktion-Steuervorganges.
  • Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens werden die erfassten Ein- und/oder Ausgabesignale des Produktion-Steuerrechners aufgezeichnet, beispielsweise auf einem Datenträger.
  • Bei einer Ausführungsform des erfindungsgemäßen Verfahrens ist der zweite Produktion-Steuerrechner physikalisch identisch zu dem überwachten Produktion-Steuerrechner aufgebaut.
  • Bei einer alternativen Ausführungsform des erfindungsgemäßen Verfahrens ist der zweite Produktion-Steuerrechner virtuell identisch zu dem Produktion-Steuerrechner auf einem Server oder Rechner implementiert.
  • Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens erfolgt eine direkte Sicherheitsüberprüfung durch die Sicherheitsüberprüfungseinheit, indem diese auf Referenzdaten zugreift, um zu verifizieren, ob sich der Produktion-Steuerrechner während des Produktion-Steuervorganges in einem integeren Konfigurationszustand befindet.
  • Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens vergleicht die Sicherheitsüberprüfungseinheit die Konfigurationsdaten des Produktion-Steuerrechners und/oder des zweiten Produktion-Steuerrechners mit den Referenzdaten, um zu verifizieren, ob sich der Produktion-Steuerrechner während des Produktion-Steuervorganges in einem integeren Konfigurationszustand befindet.
  • Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens werden die Konfigurationsdaten des Produktion-Steuerrechners in den zweiten Produktion-Steuerrechner vor der Sicherheitsüberprüfung kopiert.
  • Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens geben die Konfigurationsdaten einen Konfigurationszustand von mindestens einer in dem Produktion-Steuerrechner implementierten Softwarekomponente an.
  • Bei einer weiteren Ausführungsform des erfindungsgemäßen Verfahrens werden die Konfigurationsdaten durch berechnete Prüfsummen der jeweiligen Softwarekomponenten gebildet.
  • Bei einer weiteren Ausführungsform des erfindungsgemäßen Verfahrens werden die Konfigurationsdaten durch Versionsnummern der jeweiligen Softwarekomponenten gebildet.
  • Bei einer Ausführungsform des erfindungsgemäßen Verfahrens werden die Konfigurationsdaten durch Konfigurationseinstellungen in mindestens einer Konfigurationsdatei des Produktionssteuerrechners gebildet.
  • Bei einer Ausführungsform des erfindungsgemäßen Verfahrens erfolgt eine Fehlerbehandlung, falls die Sicherheitsüberprüfung ergibt, dass der Produktion-Steuerrechner nicht in einem integeren Konfigurationszustand während des Produktion-Steuervorganges ist.
  • Diese Fehlerbehandlung umfasst bei einer möglichen Ausführungsform das Abgeben einer Alarmmeldung.
  • Bei einer weiteren Ausführungsform umfasst die Fehlerbehandlung das Anhalten des Herstellungsprozesses zur Herstellung der Produkte durch die Fertigungseinheit.
  • Bei einer weiteren Ausführungsform des erfindungsgemäßen Verfahrens umfasst die Fehlerbehandlung eine Steigerung der Qualitätsprüfung bei den durch den Herstellungsprozess hergestellten Produkten.
  • Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens umfasst die Fehlerbehandlung das Senden einer Fehlerbenachrichtigung an ein Produktionsmanagementsystem.
  • Bei einer weiteren möglichen Ausführungsform des erfindungsgemäßen Verfahrens umfasst die Fehlerbehandlung das Einschreiben einer Fehlernachricht in einen oder in mehrere Datenträger, die die hergestellten Produkte begleiten.
  • Bei einer möglichen Ausführungsform des erfindungsgemäßen Verfahrens erfolgt die Sicherheitsüberprüfung vor dem Herstellungsprozess zur Herstellung der Produkte.
  • Bei einer alternativen Ausführungsform des erfindungsgemäßen Verfahrens erfolgt die Sicherheitsüberprüfung während des Herstellungsprozesses zur Herstellung der Produkte.
  • Bei einer weiteren Ausführungsform des erfindungsgemäßen Verfahrens erfolgt die Sicherheitsüberprüfung nach dem Herstellungsprozess zur Herstellung der Produkte.
  • Die Erfindung schafft ferner ein System zur Herstellung von Produkten mit mindestens einem Produktion-Steuerrechner, der einen Produktion-Steuervorgang zur Herstellung von Produkten durchführt, wobei für den Produktion-Steuervorgang eine Sicherheitsüberprüfung durch eine Sicherheitsüberprüfungseinheit erfolgt, welche verifiziert, ob sich der Produktion-Steuerrechner während des Produktion-Steuervorganges in einem integeren Zustand befindet.
  • Bei einer möglichen Ausführungsform des erfindungsgemäßen Systems führt die Sicherheitsüberprüfungseinheit die Sicherheitsüberprüfung direkt durch Auswerten von Konfigurationsdaten des Produktion-Steuerrechners durch.
  • Bei einer alternativen Ausführungsform des erfindungsgemäßen Systems führt die Sicherheitsüberprüfungseinheit die Sicherheitsüberprüfung indirekt durch Beobachten eines Kommunikationsverhaltens des Produktion-Steuerrechners durch.
  • Bei einer möglichen Ausführungsform des erfindungsgemäßen Systems erfasst eine Signalabzweigeinheit Ein- und/oder Ausgabesignal des überwachten Produktion-Steuerrechners rückwirkungsfrei und überträgt diese abgezweigten Ein- und/oder Ausgabesignale an einen zweiten identisch implementierten Produktion-Steuerrechner, wobei die Sicherheitsüberprüfungseinheit die Sicherheitsüberprüfung direkt durch Auswerten von Konfigurationsdaten des zweiten Produktion-Steuerrechners oder indirekt durch Beobachten eines Kommunikationsverhaltens des zweiten Produktion-Steuerrechners durchführt.
  • Bei einer möglichen Ausführungsform des erfindungsgemäßen Systems ist der zweite Produktion-Steuerrechners physikalisch identisch zu dem überwachten Produktion-Steuerrechner aufgebaut.
  • Bei einer alternativen Ausführungsform des erfindungsgemäßen Systems ist der zweite Produktion-Steuerrechner virtuell identisch zu dem überwachten Produktion-Steuerrechner auf einem Server oder Rechner implementiert.
  • Die Erfindung schafft ferner eine Sicherheitsüberprüfungseinheit zur Ausführung einer Sicherheitsüberprüfung bei einem Produktion-Steuerrechner, welcher einen Produktion-Steuervorgang zur Herstellung von Produkten durchführt, wobei die Sicherheitsüberprüfungseinheit zur Ausführung der Sicherheitsüberprüfung verifiziert, ob sich der Produktion-Steuerrechner während des Produktionsvorganges in einem integeren Zustand befindet.
  • Bei einer Ausführungsform der erfindungsgemäßen Sicherheitsüberprüfungseinheit erfolgt die Sicherheitsüberprüfung direkt durch Auswerten von Konfigurationsdaten des überwachten Produktion-Steuerrechners.
  • Bei einer alternativen Ausführungsform der erfindungsgemäßen Sicherheitsüberprüfungseinheit erfolgt die Sicherheitsüberprüfung indirekt durch Beobachten eines Kommunikationsverhaltens des überwachten Produktion-Steuerrechners.
  • Bei einer Ausführungsform der erfindungsgemäßen Sicherheitsüberprüfungseinheit ist diese in dem Produktion-Steuerrechner enthalten bzw. darin integriert.
  • Bei einer alternativen Ausführungsform der erfindungsgemäßen Sicherheitsüberprüfungseinheit ist die Sicherheitsüberprüfungseinheit mit dem Produktion-Steuerrechner über ein Netzwerk verbunden.
  • Die Erfindung schafft ferner einen Produktion-Steuerrechner, der eine Sicherheitsüberprüfungseinheit enthält, welche eine Sicherheitsüberprüfung bei dem Produktion-Steuerrechner durchführt, wobei die Sicherheitsüberprüfungseinheit zur Ausführung der Sicherheitsüberprüfung verifiziert, ob sich der Produktion-Steuerrechner während eines Produktion-Steuervorganges in einem integeren Zustand, insbesondere in einem integeren Konfigurationszustand, befindet.
  • Die Erfindung schafft ferner einen Überwachungs-Produktion-Steuerrechner, wobei dem Überwachungs-Produktion-Steuerrechner die Ein- und/oder Ausgabesignale oder die Konfigurationsdaten eines überwachten Produktion-Steuerrechners zugeführt werden und wobei der Überwachungs-Produktion-Steuerrechner identisch zu dem überwachten Produktion-Steuerrechner aufgebaut ist,
    wobei eine mit dem Überwachungs-Produktion-Steuerrechner verbundene Sicherheitsüberprüfungseinheit überprüft, ob sich der Überwachungs-Produktion-Steuerrechner während eines Produktion-Steuervorganges des überwachten Produktion-Steuerrechners in einem integeren Zustand befindet.
  • Im weiteren werden Ausführungsformen des erfindungsgemäßen Verfahrens und des erfindungsgemäßen Systems zum Überwachen eines Produktion-Steuerrechners unter Bezugnahme auf die beigefügten Figuren erläutert.
  • Es zeigen:
  • 1 ein Blockschaltbild eines möglichen Ausführungsbeispiels eines erfindungsgemäßen Systems mit einem überwachten Produktion-Steuerrechner gemäß der Erfindung;
  • 2A, 2B Diagramme zur Darstellung möglicher Ausführungsbeispiele eines erfindungsgemäßen Systems mit einem überwachten Produktion-Steuerrechner;
  • 3 ein Ablaufdiagramm zur Darstellung eines Ausführungsbeispiels des erfindungsgemäßen Verfahrens zum Überwachen eines Produktion-Steuerrechners;
  • 4 ein weiteres Ablaufdiagramm zur Darstellung einer Ausführungsform des erfindungsgemäßen Verfahrens zum Überwachen eines Produktion-Steuerrechners;
  • 5 ein Blockschaltbild zur Darstellung eines weiteren möglichen Ausführungsbeispiels eines erfindungsgemäßen Systems mit einem überwachten Produktion-Steuerrechner;
  • 6 ein weiteres Blockschaltbild zur Darstellung einer möglichen Ausführungsform eines erfindungsgemäßen Systems mit einem überwachten Produktion-Steuerrechner;
  • 7 ein Diagramm zur Darstellung einer möglichen Ausführungsvariante des erfindungsgemäßen Systems mit einem überwachten Produktion-Steuerrechner.
  • 1 zeigt ein Beispiel für ein System 1, das einen überwachten Produktion-Steuerrechner 5 gemäß der Erfindung enthält. Das in 1 dargestellte Produktionssystem 1 enthält zwei Fertigungszellen FZ1, FZ2 zur Herstellung von Gerten bzw. Produkten oder Zwischenprodukten. Bei dem dargestellten Beispiel für ein Produktionssystem 1 weist jede der beiden Fertigungszellen FZ1, FZ2 einen lokalen Bus auf, an den mehrere Einheiten angeschlossen sind. Die Fertigungszelle FZ1 weist einen lokalen Bus 2-1 auf, der mit einem industriellen Netzwerk 3 verbunden ist, an welchen verschiedene Fertigungszellen FZ angeschlossen sind. Bei dem in 1 dargestellten Beispiel sind an dem lokalen Bus 2-1 der Fertigungszelle FZ1 ein Roboterarm 4, ein Produktion-Steuerrechner bzw. ein Produktion-Steuerrechnermodul 5 zur Ansteuerung des Roboterarms 4 sowie eine Sicherheitsüberprüfungseinheit 6 angeschlossen, welche die Integrität des Produktion-Steuermoduls 5 während des Produktion-Steuervorganges bzw. während der Ansteuerung des Roboterarms 4 überwacht, indem sie verifiziert, ob sich der Produktion-Steuerrechner 5 während des Produktion-Steuervorgangs in einem integeren Zustand befindet. Die zweite Fertigungszelle FZ2 weist bei dem in 1 dargestellten Beispiel einen Schweißautomat 6 als Fertigungseinheit auf, die über einen lokalen Bus 2-2 mit einem Steuerrechner 7 verbunden ist. Bei dem in 1 dargestellten Beispiel weist die zweite Fertigungszelle FZ2 keine Sicherheitsüberprüfungseinheit auf. Das Industrienetzwerk 3 ist über einen Firewall 8 mit einem weiteren Netzwerk, beispielsweise einem Büronetzwerk 9, verbunden, an dem ebenfalls ein Rechner 10 angeschlossen ist. Weiterhin ist in dem dargestellten Beispiel ein Produktionsserver 11 vorgesehen, der ein Teil eines Produktionsmanagementsystems sein kann. Dieser Produktionsserver 11 ist mit dem Industrienetzwerk 3 verbunden. Weiterhin weist das Industrienetzwerk 3 bei dem dargestellten Beispiel einen WLAN Accesspoint 12 auf, der über eine drahtlose Schnittstelle mit einem Wartungsrechner bzw. einem Wartungsgerät 13 kommuniziert.
  • Der Produktion-Steuerrechner 5 steuert den Produktionsvorgang der Fertigungseinheit 4 innerhalb der Fertigungszelle FZ1. Während dieses Produktion-Steuervorganges über den lokalen Bus 2-1 der Fertigungszelle 1 erfolgt durch die Sicherheitsüberprüfungseinheit 6, die ebenfalls an dem lokalen Bus 2-1 angeschlossen ist, eine Sicherheitsüberprüfung, ob sich der Produktion-Steuerrechner 5 während des Produktion-Steuervorganges in einem integeren Zustand, insbesondere in einem integeren Konfigurationszustand, befindet. Die Sicherheitsüberprüfungseinheit 6 verifiziert, ob sich der Produktion-Steuerrechner 5 während des Produktion-Steuervorganges in einem integeren Zustand befindet, wobei dies direkt oder indirekt erfolgen kann. Bei einer möglichen Ausführungsform erfolgt die Sicherheitsüberprüfung durch die Sicherheitsüberprüfungseinheit 6 durch Auswerten von Konfigurationsdaten des Produktion-Steuerrechners 5 während des Produktion-Steuervorganges. Die Konfigurationsdaten umfassen Konfigurationsparameter, z. B. eine konfigurierbaren Temperaturschwellwert, eine Solldrehzahl eines am Ende des Roboterarms 4 befestigten Werkzeugs wie ein Fräskopf (nicht dargestellt) oder eine Trajektorie, entlang der der Roboterarm 4 unter Kontrolle des Produktion-Steuerrechners 5 geführt wird. Sie können weiterhin Betriebssoftware und/oder Steueranweisungen des Produktion-Steuerrechners 5 umfassen. Bei einer alternativen Ausführungsform erfolgt die Sicherheitsüberprüfung durch die Sicherheitsüberführungseinheit 6 indirekt durch Beobachten eines Kommunikationsverhaltens des Produktion-Steuerrechners 5, beispielsweise durch Beobachtung der Signale auf dem lokalen Steuerbus 2-1. Bei dem in 1 dargestellten Ausführungsbeispiel ist die Sicherheitsüberprüfungseinheit 6 mit dem Produktion-Steuerrechner 5 über einen lokalen Bus 2-1 bzw. über ein Netzwerk verbunden. Bei einer alternativen Ausführungsform kann sich die Sicherheitsüberprüfungseinheit 6 auch innerhalb des Produktion-Steuerrechners 5 befinden bzw. darin integriert sein.
  • Bei der in 1 dargestellten Ausführungsvariante ist die Sicherheitsüberprüfungseinheit 6 über einen lokalen Bus 2-1 mit dem überwachten Produktion-Steuerrechner 5 und der Fertigungseinheit 4 verbunden. Bei alternativen Ausführungsformen kann sich der Produktion-Steuerrechner 5 an einem anderen Ort innerhalb des Produktionssystems befinden. Bei einer möglichen Variante ist die Sicherheitsüberprüfungseinheit 6 nicht an den lokalen Bus 2-1 sondern an dem Industrienetzwerk 3 angeschlossen. Bei einer möglichen Ausführungsvariante ist die Sicherheitsüberprüfungseinheit 6 durch den Firewall 8 getrennt von dem Industrienetzwerk 3 in dem Büronetzwerk 9 vorgesehen.
  • Der Produktionssteuervorgang durch den Produktionssteuerrechner 5 zur Steuerung des Herstellungsprozesses bzw. Produktionsprozesses durch eine Fertigungseinheit 4, beispielsweise einen Roboterarm, erfolgt bei einer möglichen Ausführungsform in Echtzeit. Dabei werden Steuersignale an Aktoren der Fertigungseinheit 4 in Echtzeit zur Steuerung des Produktion-Steuervorganges übertragen und Sensordaten von Sensoren der Fertigungseinheit 4 in Echtzeit an den Produktion-Steuerrechner 5, beispielsweise über einen lokalen Bus, zurückübertragen.
  • Bei einer möglichen Ausführungsform erfolgt die Sicherheitsüberprüfung durch Auswerten von Konfigurationsdaten des Produktion-Steuerrechners 5. Ist die Sicherheitsüberprüfungseinheit 6 nicht in dem Produktion-Steuerrechner 5 integriert kann dies beispielsweise dadurch geschehen, dass die Konfigurationsdaten des Produktion-Steuerrechners 5 zur Sicherheitsüberprüfungseinheit 6 kopiert werden, welche die kopierten Konfigurationsdaten dann auswertet.
  • Bei einer möglichen Ausführungsform greift die Sicherheitsüberprüfungseinheit 6 aus Referenzdaten zu, um zu verifizieren, ob sich der Produktion-Steuerrechner 5 während des Produktion-Steuervorganges in einem integeren Konfigurationszustand befindet. Die Sicherheitsüberprüfungseinheit 6 vergleicht dabei vorzugsweise die Referenzdaten mit den Konfigurationsdaten des Produktion-Steuerrechners 5, um zu verifizieren, ob sich der Produktion-Steuerrechner 5 während des Produktion-Steuervorganges in einem integeren Konfigurationszustand befindet. Die für den Vergleich notwendigen Referenzdaten können sich beispielsweise in einer Datenbank befinden, auf die die Sicherheitsüberprüfungseinheit 6 Zugriff hat. Die Überprüfung der Konfigurationsdaten durch Vergleich mit den Referenzdaten kann bei einer möglichen Ausführungsform der Sicherheitsüberprüfungseinheit 6 in Echtzeit ausgeführt werden. Die mit den Referenzdaten verglichenen Konfigurationsdaten können unterschiedliche Daten umfassen, insbesondere Konfigurationsdaten, welche einen Konfigurationszustand von mindestens einer in dem Produktion-Steuerrechner 5 implementierten Softwarekomponente angeben. Bei einer derartigen Softwarekomponente kann es sich um eine Applikations-Softwarekomponente aber auch um eine Betriebssystem-Softwarekomponente z. B. eine Treiber-Softwarekomponente handeln. Bei einer weiteren Ausführungsform weisen die Konfigurationsdaten eine berechnete Prüfsumme der jeweiligen Softwarekomponente auf. Dabei wird für die jeweilige Softwarekomponente eine Prüfsumme berechnet und mit Referenzdaten verglichen, um festzustellen, ob sich der Produktion-Steuerrechner 56 in einem integeren Zustand befindet. Weiterhin können die Konfigurationsdaten Versionsnummern der auf dem Produktion-Steuerrechner 5 implementierten Softwarekomponenten umfassen. Bei einer weiteren Ausführungsform können die Konfigurationsdaten auch Konfigurationseintellungen in mindestens einer Konfigurationsdatei des Produktion-Steuerrechners 5 aufweisen. Bei einer möglichen Ausführungsform erfasst die Sicherheitsüberprüfungseinheit 6 die Konfiguration des Produktion-Steuerrechners 5 indem sie ein Datenabbild bzw. Image der Konfiguration des Produktion-Steuerrechners 5 abzieht und mit den Referenzdaten vergleicht. Beispielsweise können über ein Kommandozeilen-Interface Prüfsummen von Betriebssystemen und/oder Anwendungsprogrammdateien sowie von Konfigurationsdateien berechnet werden und das Ergebnis an die Sicherheitsüberprüfungseinheit 6 übertragen werden. Alternativ kann eine Datenkopie der Konfigurationseinstellungen auf die Sicherheitsüberprüfungseinheit 6 geladen werden, beispielsweise in Form eines Virtual Machine Images.
  • Das Prüfergebnis der Sicherheitsüberprüfung kann bei einer möglichen Ausführungsform von der Sicherheitsüberprüfungseinheit 6 an den überwachten Produktion-Steuerrechner 5 übertragen werden, wobei dieser bei einer möglichen Ausführungsform die empfangenen Prüfergebnisse der hergestellten bzw. produzierten Gegenständen oder Produkten einer Produktionscharge zuordnen kann. Bei einer möglichen Ausführungsform schreibt der Produktion-Steuerrechner 5 das Prüfergebnis in einen Datenträger ein, der die hergestellten Produkte begleitet. Beispielsweise kann eine Produktionscharge, etwa eine Gruppe hergestellter Bauteile über einen Datenträger verfügen, der die Produktionscharge während des Produktionsvorganges begleitet, wobei der Produktion-Steuerrechner 5 das Prüfergebnis in diesen Datenträger bzw. Speicher einschreibt. Bei einer alternativen Ausführungsform kann jedes hergestellte Produkt bzw. Gegenstand über einen eigenen beschreibbaren Datenträger bzw. Speicher verfügen, in dem der Produktion-Steuerrechner 5 das jeweilige Prüfergebnis einschreibt. Auf diese Weise ist es möglich, nach Abschluss des Produktionsvorganges festzustellen, welche Gegenstände bzw. welche Produktionschargen während eines fehlerhaften bzw. nicht integeren Zustandes des zugehörigen Produktion-Steuerrechners 5 hergestellt wurden. Diese Gegenstände bzw. Produkte können nach Abschluss des Herstellungsprozesses dann einer zusätzlichen Qualitätssicherungsmaßnahme zugeführt bzw. aussortiert werden.
  • Die 2A, 2B zeigen mögliche Varianten eines erfindungsgemäßen Produktionssystems mit einem überwachten Produktion-Steuerrechner 5. Bei der in 2A dargestellten Ausführungsvariante sind in einem Speicher bzw. einer Konfigurationsdatei des Produktion-Steuerrechners 5 Konfigurationsdaten abgelegt, die durch eine externe Sicherheitsüberprüfungseinheit 6 verifiziert werden, um festzustellen, ob sich der Produktion-Steuerrechner 5 während eines Produktion-Steuervorganges bei dem eine Fertigungseinheit 4 gesteuert wird, in einem integeren Zustand befindet. Bei der in 2A dargestellten Ausführungsvariante ist die Sicherheitsüberprüfungseinheit 6 nicht in dem Produktion-Steuerrechner 5 integriert, sondern beispielsweise über ein Netzwerk mit dem Produktion-Steuerrechner 5 verbunden.
  • Bei der in 2B dargestellten Ausführungsvariante ist die Sicherheitsüberprüfungseinheit 6 in dem Produktion-Steuerrechner integriert und führt lokal die Sicherheitsüberprüfung durch, indem sie verifiziert, ob sich der Produktion-Steuerrechner 5 während des Produktion-Steuervorganges in einem integeren Zustand befindet.
  • 3, 4 zeigen verschiedene Ausführungsvarianten des erfindungsgemäßen Verfahrens zum Überwachen mindestens eines Produktion-Steuerrechners 5.
  • 3 zeigt eine Ausführungsvariante, wobei die Überwachung nach Abschluss des Herstellungsprozesses bzw. des Herstellungsvorganges erfolgt.
  • In einem Startschritt S3-0 wird der Produktionsvorgang durch den Produktion-Steuerrechner 5 gestartet.
  • In einem weiteren Schritt S3-1 erfolgt der Produktion-Steuervorgang, indem der Produktion-Steuerrechner 5 einen oder mehrere Steuerbefehle zur Fertigungseinheit 4 abgibt und gegebenenfalls Sensorsignale von der Fertigungseinheit 4 empfängt und auswertet. Wird in einem Schritt S3-2 festgestellt, dass der Produktion-Steuervorgang zur Herstellung der Produkte abgeschlossen ist, werden bei dem in 3 dargestellten Ausführungsbeispiel in einem Schritt S3-3 Steuerrechner-Konfigurationsinformationen bzw. Konfigurationsdaten durch die Sicherheitsüberprüfungseinheit 6 ermittelt. Anschließend erfolgt in einem Schritt S3-4 eine Analyse bzw. eine Auswertung der ermittelten Steuerrechner-Konfigurationsdaten, beispielsweise durch Vergleich mit Referenz-Konfigurationsdaten.
  • In einem weiteren Schritt S3-5 wird durch die Sicherheitsüberprüfungseinheit 6 festgestellt, ob eine Abweichung zwischen den ermittelten Steuerrechner-Konfigurationsdaten und den Referenz-Konfigurationsdaten besteht oder nicht. Besteht eine Abweichung, werden beispielsweise in einem Schritt S3-6 die während des Produktion-Steuervorganges erzeugten Produkte bzw. Gegenstände als „Ausschuss” markiert. Dies kann geschehen, indem beispielsweise ein Produktionsserver 11 entsprechend benachrichtigt wird, wobei der Produktionsserver 11 einen Teil eines Produktionsmanagementsystems bilden kann. Alternativ kann die Markierung der möglicherweise fehlerhaften Produkte geschehen, indem das negative Prüfergebnis in einen Datenträger eingeschrieben wird, der die hergestellten Produkte während des Produktionsvorganges begleitet. Wird im Schritt S3-5 umgekehrt keine Abweichung zwischen den Konfigurationsdaten des Produktion-Steuerrechners 5 und den Referenz-Konfigurationsdaten festgestellt, werden in einem Schritt S3-7 die in dem Produktionsvorgang bzw. Herstellungsprozess hergestellten Produkte als fehlerfrei markiert, indem man dies beispielsweise dem Produktionsserver 11 meldet oder eine entsprechende Meldung in den zugehörigen Datenträger einschreibt. Der Vorgang endet im Schritt S3-8.
  • 4 zeigt ein Ablaufdiagramm einer alternativen Variante des erfindungsgemäßen Verfahrens zum Überwachen eines Produktion-Steuerrechners 5. Bei dieser Variante erfolgt eine Sicherheitsüberprüfung während der Durchführung des Produktionsvorganges.
  • In einem Schritt S4-0 startet der Produktion-Steuerrechner 5 den Produktion-Steuervorgang.
  • In einem Schritt S4-1 erfolgt die Durchführung der Steueraufgabe durch den Produktion-Steuerrechner 5, indem dieser beispielsweise Steuerbefehle an die Fertigungseinheit 4 abgibt.
  • In einem weiteren Schritt S4-2 erfolgt eine Ermittlung von Steuerrechner-Konfigurationsdaten durch die Sicherheitsüberprüfungseinheit 6.
  • In einem weiteren Schritt S4-3 werden die ermittelten Steuerrechner-Konfigurationsdaten durch die Sicherheitsüberprüfungseinheit 6 analysiert bzw. ausgewertet, wobei dies beispielsweise durch Vergleich mit Referenz-Konfigurationsdaten erfolgt, auf welche die Sicherheitsüberprüfungseinheit 6 Zugriff hat.
  • In einem weiteren Schritt S4-4 überprüft die Sicherheitsüberprüfungseinheit 6, ob eine Abweichung zwischen den Referenz-Konfigurationsdaten und den ermittelten Steuerrechner-Konfigurationsdaten besteht. Ist dies der Fall, kann beispielsweise im Schritt S4-5 ein Abbruch der Steueraufgabe durch die Sicherheitsüberprüfungseinheit 6 veranlasst werden und der Produktionsvorgang wird gestoppt. In einem weiteren Schritt S4-6 kann dann die bisher erzeugte Produktionscharge bzw. die bisher erzeugten und hergestellten Produkte als fehlerhaft markiert werden. Ergibt umgekehrt die Überprüfung in dem Schritt S4-4, dass keine Abweichung zwischen den Referenz-Konfigurationsdaten und den ermittelten Steuerrechner-Konfigurationsdaten des Produktion-Steuerrechners 5 während des Produktionsvorganges aufgetreten sind, wird in Schritt S4-7 geprüft, ob der Produktionssteuervorgang die jeweilige Produktionscharge abgeschlossen ist oder nicht. Ist der Produktionsvorgang für die Produktionscharge, bei der eine Vielzahl von Produkten bzw. Gegenständen hergestellt werden können, nicht abgeschlossen, kehrt der Vorgang zu Schritt S4-1 zurück und der Produktion-Steuerrechner 5 gibt den nächsten Steuerbefehl für den Produktion-Steuervorgang an die Fertigungseinheit 4 ab. Ist der Produktion-Steuervorgang für die Produktionscharge abgeschlossen, werden in einem Schritt S4-8 die produzierten bzw. hergestellten Gegenstände bzw. Produkte als fehlerfrei markiert. Der Vorgang endet im Schritt S4-9.
  • Ein Vorteil der in 4 dargestellten Vorgehensweise besteht darin, dass ein Produktionsvorgang zur Herstellung einer Produktionscharge bei der ersten auftretenden Abweichung in Schritt S4-5 abgebrochen werden kann, so dass nicht weitere fehlerhafte und möglicherweise fehlerhafte Produkte durch einen nicht in einem integeren Zustand befindlichen Produktion-Steuerrechner hergestellt werden können. Hierdurch kann eine Verschwendung von Ressourcen vermieden werden.
  • Weitere Varianten des erfindungsgemäßen Verfahrens zur Überwachung eines Produktion-Steuerrechners 5 sind möglich. Die Überwachung bzw. Sicherheitsüberprüfung kann vor, während oder nach dem Herstellungsprozess zur Herstellung der Produkte erfolgen. Weiterhin muss die Sicherheitsüberprüfung nicht direkt durch Auswerten von Konfigurationsdaten des Produktion-Steuerrechners 5 erfolgen, sondern kann auch indirekt durch Beobachten eines Kommunikationsverhaltens des Produktion-Steuerrechners 5 geschehen.
  • 5 zeigt ein weiteres Ausführungsbeispiel für ein Produktionssystem 1 mit einem überwachten Produktion-Steuerrechner 5. Bei dieser Ausführungsvariante erfolgt die Sicherheitsüberprüfung indirekt durch Beobachten eines Kommunikationsverhaltens des Produktion-Steuerrechners 5. Das Produktionssystem 1 in dem Ausführungsbeispiel der 5 weist mindestens eine Signalabzweigeinheit 14 auf, die Ein- und/oder Ausgabesignale des Produktion-Steuerrechners 5 rückwirkungsfrei erfasst und an einen zweiten identisch implementierten Produktion-Steuerrechner 5' überträgt. Bei dem in 5 dargestellten Ausführungsbeispiel befindet sich die Signalabzweigeinheit 14 zwischen dem Produktion-Steuerrechner 5 und einer durch den Produktion-Steuerrechner 5 gesteuerten Fertigungseinheit 4. Bei den abgezweigten Ein- und/oder Ausgabesignalen kann es sich um Steuersignale und Sensorsignale handeln. Der identisch implementierte zweite Produktion-Steuerrechner 5' erhält somit dieselben Ein- oder Ausgabesignale wie der überwachte Produktion-Steuerrechner 5. Bei der in 5 dargestellten Ausführungsvariante ist an dem zweiten identisch implementierten Produktion-Steuerrechner 5' eine Sicherheitsüberprüfungseinheit 6 angeschlossen, welche die Sicherheitsüberprüfung durchführt. Diese Sicherheitsüberprüfung kann durch Auswerten von Konfigurationsdaten des zweiten Produktion-Steuerrechners 5' direkt erfolgen oder indirekt durch Beobachten eines Kommunikationsverhaltens des zweiten Produktion-Steuerrechners 5' durch die Sicherheitsüberprüfungseinheit 6. Bei der in 5 dargestellten Ausführungsvariante ist die Sicherheitsüberprüfungseinheit 6 eine externe Einheit, die beispielsweise über ein Netzwerk mit dem zweiten identisch implementierten Produktion-Steuerrechner 5' verbunden ist. Bei einer alternativen Ausführungsform kann sich die Sicherheitsüberprüfungseinheit 6 auch integriert innerhalb des zweiten Produktion-Steuerrechners 5' befinden. Bei einer möglichen Ausführungsvariante erhält die Sicherheitsüberprüfungseinheit 6, wie sie in 5 dargestellt ist, auch die Ein- und/oder Ausgabesignale, welche von der Signalabzweigeeinheit 14 geliefert werden, um indirekt das Kommunikationsverhalten des zweiten Produktion-Steuerrechners 5' mit zu überwachen und auszuwerten. Bei einer möglichen Variante ist der zweite Produktion-Steuerrechner 5' physikalisch identisch zu dem überwachten Produktion-Steuerrechner 5 aufgebaut. Bei einer alternativen Ausführungsform ist der zweite Produktion-Steuerrechner 5' virtuell gleich zu dem überwachten Produktion-Steuerrechner 5 auf einem Server bzw. Rechner implementiert.
  • 6 zeigt ein spezifisches Ausführungsbeispiel des erfindungsgemäßen Systems mit einem überwachten Produktion-Steuerrechner 5. Bei dem in 6 dargestellten Ausführungsbeispiel weist der Produktion-Steuerrechner 5 eine CPU 5A, einen Programmspeicher 5B, insbesondere eine Festplatte oder Festspeicher, einen Arbeitsspeicher 5C und eine Ein-/Ausgabeeinheit 5D bzw. eine Schnittstelle auf. Die Ein-/Ausgabeeinheit 5D des Produktion-Steuerrechner 5 ist beispielsweise über einen lokalen Bus mit einer Fertigungseinheit 4 verbunden, die über Aktoren A und Sensoren S verfügt. Weiterhin weist die Ein-/Ausgabeeinheit 5D des Produktion-Steuerrechners 5 eine Kommunikationsschnittstelle auf, beispielsweise eine serielle Schnittstelle mit einem Netzwerk, die mit dem in 1 dargestellten Industrienetzwerk 3 verbunden sein kann. In dem in 6 dargestellten Ausführungsbeispiel erfasst die Signalabzweigeinheit 14 Ein- und/oder Ausgabesignale des Produktion-Steuerrechners 5 rückwirkungsfrei z. B. mittels einer transparenten Erfassungseinheit TCU (transparent capturing unit), indem sie die auf dem lokalen Bus 2 zwischen der Eingabe-/Ausgabeeinheit 5D und der gesteuerten Fertigungseinheit 4 übertragenen bzw. ausgetauschten Signale abgreift. Die abgegriffenen Signale können von der transparenten Erfassungseinheit 14A in einem lokalen Zwischenspeicher 14B der Abzweigeinheit 14 zwischengespeichert werden. Von einer Kommunikationseinheit 14C der Abzweigeinheit werden anschließend die gegebenenfalls zwischengespeicherten abgezweigten Signale an eine Ein-/Ausgabeeinheit 5D' des Überwachungs-Produktion-Steuerrechners 5' übertragen. Der Überwachungs-Produktion-Steuerrechner 5' kann bei einer möglichen Ausführungsform physikalisch und identisch zu dem Produktion-Steuerrechner 5 aufgebaut sein. Wie in 6 dargestellt, weist der zweite Produktion-Steuerrechner bzw. der Überwachungs-Produktion-Steuerrechner 5' ebenfalls eine CPU 5A', einen Programmspeicher 5B', einen Arbeitsspeicher 5C' auf. In den Speichern 53', 5C' können Konfigurationsdaten des überwachten Produktion-Steuerrechners 5 z. B. über eine separate Schnittstelle kopiert werden. Bei dem Überwachungs-Produktion-Steuerrechner 5' handelt es sich gewissermaßen um einen gedoppelten Produktion-Steuerrechner, der mit den gleichen Eingabesignalen beaufschlagt wird wie der überwachte Produktion-Steuerrechner 5 und die gleichen Ausgabesignale bzw. Steuersignale generiert. Der gedoppelte Produktion-Steuerrechner 5' wird durch die Sicherheitsüberprüfungseinheit 6 auf seinen integeren Zustand hin überwacht. Die Sicherheitsüberprüfungseinheit 6 überprüft, ob der gedoppelte bzw. Überwachungs-Produktion-Steuerrechner 5' während des Produktionsvorganges nicht manipuliert ist. Bei einer möglichen Ausführungsform, wie sie in 6 dargestellt, erhält die Sicherheitsüberprüfungseinheit 6 einen Referenz-Datenspeicher 6A zum Abspeichern von Referenzdaten und eine Vergleichseinheit bzw. Prüfeinheit 6B, welche die gespeicherten Referenzdaten mit den Konfigurationsdaten des Produktion-Steuerrechners 5' vergleicht. Diese Konfigurationsdaten können aus den Speichern 5B', 5C' des Überwachungs-Produktion-Steuerrechners 5' ausgelesen werden. Abhängig von dem Prüfergebnis bewertet die Signalüberwachungseinheit 6, ob der Produktionssteuervorgang durch den überwachten Produktion-Steuerrechner 5 in einem integeren Zustand durchgeführt worden ist oder nicht. Der gedoppelte bzw. Überwachungs-Produktion-Steuerrechner 5' kann wie in 6 dargestellt in Hardwareimplementiert und physikalisch identisch zu dem überwachten Produktion-Steuerrechner 5 aufgebaut sein. Alternativ kann es sich bei dem Überwachungs-Produktion-Steuerrechner 5' um einen virtuellen Steuerrechner handeln, das heißt ein Steuerrechner, der als virtuelle Maschine auf einem Hypervisor ausgeführt wird, beispielsweise auf einem PC oder einem Server. Abhängig von dem Prüfergebnis, welches durch die Signalüberprüfungseinheit 6 geliefert wird, kann eine Fehlerbehandlung erfolgen. Eine Fehlerbehandlung kann beispielsweise das Abgeben eines Alarmsignals umfassen. Ferner ist es möglich, dass der gesamte Herstellungsprozess zur Herstellung der Produkte durch die Fertigungseinheit 4 sofort oder verzögert angehalten wird. Weiterhin kann eine Qualitätssicherungsmaßnahme nach Abschluss des Herstellungsprozesses für die hergestellten Produkte vorgenommen werden. Weiter ist es möglich, dass die Sicherheitsüberprüfungseinheit 6 eine Fehlerbenachrichtung an ein Produktion-Managementsystem abgibt. Bei einer weiteren alternativen Ausführungsform kann die Sicherheitsüberprüfungseinheit 6 das Einschreiben einer Fehlernachricht in einem oder in mehrere die hergestellten Produkte begleitende Datenträger veranlassen. Hierfür können die hergestellten Produkte jeweils einzeln oder als Gruppe mit einem Speichermodul oder einem RFID-Chip versehen sein. Wird ein Sicherheitsproblem durch die Sicherheitsüberprüfungseinheit 6 erkannt, so kann die betroffene Produktcharge geeignet weiterbehandelt werden, beispielsweise als Ausschuss oder es können zusätzliche Prüfungen zu Qualitätssicherungen vorgenommen. Falls bereits während der Durchführung der Produktion-Steueraufgabe in einer Sicherheitsüberprüfung ein Sicherheitsproblem erkannt wird, so kann auch direkt ein Abbruch des Herstellungsprozesses erfolgen oder ein Wechsel in einem betriebssicheren Zustand z. B. durch Erzeugen eines Notaus-Signals. Bei einer möglichen Ausführungsform erhält der Überwachungs-Produktion-Steuerrechner 5' Eingabesignale abgesehen von einer Signalleitzeitverzögerung zeitgleich wie der überwachte Produktion-Steuerrechner bzw. synchron zu dem überwachten Produktion-Steuerrechner. Bei einer alternativen Ausführungsform erhält der zweite Produktion-Steuerrechner 5' die Ein- bzw. Ausgabesignale asynchron. Da der zweite Überwachungs-Produktion-Steuerrechner 5' denselben Randbedingungen wie der erste zu überwachende Produktion-Steuerrechner 5 ausgesetzt ist, können auf ihm ohne Störung oder Beeinflussung des Produktionsvorganges Sicherheitsüberprüfungen durchgeführt werden, beispielsweise ein Virenscanner, ein Sicherheitsmonitoring kritischer Speicherbereiche sowie eine Überwachung, ob die Betriebssystemdateien des Überwachungs-Produktion-Steuerrechners 5' modifiziert werden. Bei einer möglichen Variante wird der erste Produktion-Steuerrechner 5 zweimal mit den gleichen Eingabesignalen beaufschlagt, wobei einmal die Durchführung im Realbetrieb erfolgt und das andere Mal in einem simulierten Betrieb ohne reale Produktion. Wird bei der Sicherheitsüberprüfung ein kritischer Zustand erkannt, so wird bei einer möglichen Ausführungsform der Produktion-Steuerrechner 5 bzw. der Produktionsvorgang in einem sicheren Betriebsmodus überführt bzw. gefahren, so dass keine Gefährdung in dem realen Produktionssystem auftritt.
  • Das Datenimage für den zweiten Produktion-Steuerrechners 5' bzw. die Konfigurationsdaten sind vorzugsweise identisch mit dem Datenimage für den ersten Produktion-Steuerrechner. Bei einer möglichen Ausführungsform kann das Datenimage bzw. die abgezogenen Konfigurationsdaten modifiziert werden, indem zusätzlich das Datenimage eines Virenscanners, eines Personal-Firewalls oder eines Intrusion Detection Systems installiert werden. Möglich ist, dass auch innerhalb der Laufzeitumgebung des zweiten Produktion-Steuerrechners ein Sicherheitsproblem erkannt werden kann. Weiterhin ist es möglich, dass auf dem zweiten Produktion-Steuerrechners 5' ein oder mehrere Sicherheitspatches beispielsweise Bildbetriebssystemupdates installiert werden. Bei einer weiteren Variante werden zwei Datenimages bzw. Konfigurationsdatenkopien erzeugt, wobei ein zweiter und gegebenenfalls ein zusätzlich dritter Rechner mit den erfassten Signalen beaufschlagt wird. Dabei kann beispielsweise ein Datenimage identisch sein zu dem des ersten Produktion-Steuerrechner und das andere Datenimage wie oben beschrieben modifiziert werden. Bei dieser Ausführungsvariante ist es möglich, einen Vergleich der Ausgangssignale der beiden virtuellen Rechner durchzuführen. Bei einer Abweichung wird dann ein Sicherheitsproblem erkannt. Bei einer möglichen weiteren Variante können im Parallelbetrieb in dem zweiten virtuellen Produktion-Steuerrechner Betriebssystem-Updates oder Applikationspatches installiert werden, um dabei im realen Produktionsbetrieb parallel zum ersten Rechner den Einfluss neuer Patches bzw. Updates auf die generelle Funktionalität des ersten Produktion-Steuerrechners 5 beobachten zu können. Nach einer definierten Testzeit können die Updates bzw. Patches dann in einer Maintenance bzw. Wartungsphase auf dem ersten Produktion-Steuerrechner 5 vorgenommen werden.
  • Bei einer weiteren Ausführungsvariante verfügt der erste Produktion-Steuerrechner 5 über vorgegebene Hardware-basierte Sicherheitsmittel beispielsweise TPM, die zu einem Initialisierungszeitpunkt beispielsweise beim Booten des ersten Produktion-Steuerrechners 5 die Plattform auf eventuelle Änderungen untersucht und das Ergebnis als Integrity Check Value ICV an den zweiten Produktion-Steuerrechner übermittelt. Der zweite Produktion-Steuerrechner 5' kann dann zusätzlich zu den oben beschriebenen Auswertungen auch das Prüfergebnis ICV mit einem zuletzt gespeicherten ICV-Prüfergebnis vergleichen und bei Abweichungen den ersten Produktion-Steuerrechner 5 in einen sicheren Zustand bringen. Bei einer möglichen Variante kann diese Überprüfung mittels Integrity Check Values ICV auch im laufenden Betrieb wiederholt erfolgen.
  • 7 zeigt ein Diagramm zur Erläuterung der Funktionsweise des erfindungsgemäßen Verfahrens zur Überwachung mindestens eines Produktion-Steuerrechners 5. In dem dargestellten Zeitablauf werden drei Herstellungsprozesse bzw. Produktionsvorgänge durchgeführt. Zu unterschiedlichen Zeitpunkten werden Prüfergebnisse von der Sicherheitsüberprüfungseinheit 6 ermittelt. Diese Sicherheitsüberprüfungsergebnisse werden dabei einem Produktionsschritt zugeordnet. Bei einer möglichen Ausführungsform wird ein Zeitfenster ermittelt, zu dem die Produktion-Steuervorgänge durchgeführt werden. Gegebenenfalls kann auch ein modifiziertes Zeitfenster ermittelt werden, beispielsweise indem durch einen Zeitraum vor und nach Durchführung des Produktionsvorganges berücksichtigt wird, beispielsweise eine Minute, eine Stunde oder ein Tag. Es kann dann untersucht werden, ob in dem für eine erzeugte Produktionseinheit bzw. eine Produktionscharge in den verwendetem Zeitfenster ein negatives Prüfergebnis vorliegt. Falls ja, können die erzeugten Produkte bzw. die gesamte Produktionscharge als fehlerhaft bzw. potentiell fehlerhaft markiert werden.
  • Für jede Produktionsaufgabe bzw. für jeden Produktion-Steuervorgang kann ein Startzeitpunkt und ein Endezeitpunkt ermittelt bzw. festgelegt werden. Das Prüfintervall für diesen Produktion-Steuervorgang erstreckt sich in diesem Beispiel auf einen für die Produktionsaufgabe relevanten Zeitraum.
  • Im ersten Beispielfall, das heißt dem Produktion-Steuervorgang 1, liegen bei dem dargestellten Beispiel Meldungen vor, die angeben, dass während des Produktion-Steuervorganges keine auffälligen Prüfergebnisse ermittelt wurden. Die in dem ersten Produktion-Steuervorgang 1 erzeugten Produkte werden daher als ordnungsmäßig hergestellt gekennzeichnet.
  • In dem zweiten Beispielfall, das heißt der Produktion-Steueraufgabe 2, liegen für einen Zeitraum etwa in der Mitte des Produktion-Steuervorganges keine Prüfergebnisse vor. Daher kann bei diesem Beispiel nicht mit hinreichender Zuverlässigkeit eine Aussage darüber getroffen werden, ob die in der zweiten Produktionsaufgabe erzeugten Produkte fehlerhaft hergestellt worden sind oder nicht. Daher werden die während des zweiten Produktion-Steuervorgangs erzeugten Produkte als möglicherweise fehlerhaft gekennzeichnet.
  • In dem dritten Beispielfall, das heißt dem Produktion-Steuervorgang 3 werden in einem Zeitraum etwa in der Mitte der Produktion-Steueraufgabe negative Ergebnisse bzw. Fehlermeldungen generiert, das heißt der zugehörige Produktion-Steuerrechner wird durch die zugehörige Sicherheitsüberprüfungseinheit als fehlerhaft erkannt. Die in dem dritten Produktion-Steuervorgang 3 erzeugten Produkte bzw. Gegenstände werden daher als fehlerhaft hergestellt gekennzeichnet. Mit dem erfindungsgemäßen Verfahren und System können schadhafte Auswirkungen infolge eines Angriffs auf einen Produktion-Steuerrechner vermieden bzw. die Auswirkungen reduziert werden. Möglicherweise schadhafte Produkte bzw. Gegenstände können entsprechend markiert bzw. gekennzeichnet werden, so dass sie im Nachgang entweder als Ausschuss aussortiert werden oder weiteren als Sicherheitsüberprüfungen im Zuge einer Qualitätssicherungsmaßnahme unterzogen werden.
  • Ein in Echtzeit arbeitender echtzeit-kritischer Produktion-Steuerrechner 5 kann mit Hilfe eines virtuellen Doppels zwei Sicherheitsanalysen unterzogen werden, ohne dass der operative Betrieb des Produktion-Steuerrechners 5 gestört wird. Die erfindungsgemäße Vorrichtung bzw. das erfindungsgemäße System zur Integritätsüberwachung eines Produktion-Steuerrechners 5 eignet sich für jegliche Fertigung bzw. Herstellung von Gegenständen bzw. Produkten. Bei den Produkten kann es sich um materielle Gegenstände, aber auch um immaterielle Gegenstände, beispielsweise Dateien oder dergleichen handeln.

Claims (26)

  1. Verfahren zum Überwachen mindestens eines Produktion-Steuerrechners (5), wobei zu einem durch den Produktion-Steuerrechner (5) durchgeführten Produktion-Steuervorgang zur Herstellung von Produkten mindestens eine Sicherheitsüberprüfung erfolgt, welche verifiziert, ob sich der Produktion-Steuerrechner (5) während des Produktion-Steuervorganges in einem integeren Zustand befindet.
  2. Verfahren nach Anspruch 1, wobei die Sicherheitsüberprüfung direkt durch Auswerten von Konfigurationsdaten des Produktion-Steuerrechners (5) oder indirekt durch Beobachten eines Kommunikationsverhaltens des Produktion-Steuerrechners (5) erfolgt.
  3. Verfahren nach Anspruch 1 oder 2, wobei die Sicherheitsüberprüfung durch eine Sicherheitsüberprüfungseinheit (6) erfolgt, die in dem Produktion-Steuerrechner (5) enthalten oder die mit dem Produktion-Steuerrechner (5) verbunden ist.
  4. Verfahren nach Anspruch 2 oder 3, wobei das Kommunikationsverhalten des Produktion-Steuerrechners (5) anhand von Eingabesignalen an den Produktion-Steuerrechner (5) und/oder anhand von Ausgabesignalen, die von dem Produktion-Steuerrechner (5) abgegeben werden, beobachtet und durch die Sicherheitsüberprüfungseinheit (6) ausgewertet wird.
  5. Verfahren nach Anspruch 4, wobei die Eingabe- und/oder Ausgabesignale des Produktion-Steuerrechners (5) rückwirkungsfrei erfasst und an einen zweiten identisch implementierten Produktion-Steuerrechner (5) übertragen werden und durch die Sicherheitsüberprüfungseinheit (6) die Sicherheitsüberprüfung direkt durch Auswerten von Konfigurationsdaten des zweiten Produktion-Steuerrechners (5) oder indirekt durch Beobachten eines Kommunikationsverhaltens des zweiten Produktion-Steuerrechners (5) erfolgt.
  6. Verfahren nach Anspruch 5, wobei der zweite identisch implementierte Produktion-Steuerrechner (5) die erfassten Ein- und/oder Ausgabesignale des Produktion-Steuerrechners synchron oder asynchron empfängt.
  7. Verfahren nach Anspruch 6, wobei die erfassten Ein- und/oder Ausgabesignale des Produktion-Steuerrechners (5) aufgezeichnet werden.
  8. Verfahren nach Anspruch 5 bis 7, wobei der zweite Produktion-Steuerrechner (5) physikalisch identisch zu dem Produktion-Steuerrechner (5) aufgebaut ist oder virtuell identisch zu dem Produktion-Steuerrechner (5) auf einem Server implementiert ist.
  9. Verfahren nach Anspruch 2 bis 8, wobei die direkte Sicherheitsüberprüfung durch die Sicherheitsüberprüfungseinheit (6) erfolgt, indem diese auf Referenzdaten zugreift, um zu verifizieren, ob sich der Produktion-Steuerrechner (5) während des Produktion-Steuervorganges in einem integeren Konfigurationszustand befindet.
  10. Verfahren nach Anspruch 9, wobei die Sicherheitsüberprüfungseinheit (6) Konfigurationsdaten des Produktion-Steuerrechners (5) und/oder des zweiten Produktion-Steuerrechners (5) mit den Referenzdaten vergleicht, um zu verifizieren, ob sich der Produktion-Steuerrechner (5) während des Produktion-Steuervorganges in einem integeren Konfigurationszustand befindet.
  11. Verfahren nach Anspruch 10, wobei die Konfigurationsdaten des Produktion-Steuerrechners (5) in den zweiten Produktion-Steuerrechner (5) vor der Sicherheitsüberprüfung kopiert werden.
  12. Verfahren nach Anspruch 2 bis 11, wobei die Konfigurationsdaten einen Konfigurationszustand von mindestens einer in dem Produktion-Steuerrechner (5) implementierten Softwarekomponente angeben.
  13. Verfahren nach Anspruch 12, wobei die Konfigurationsdaten durch berechnete Prüfsummen der jeweiligen Softwarekomponenten gebildet werden.
  14. Verfahren nach Anspruch 12, wobei die Konfigurationsdaten durch Versionsnummern der jeweiligen Softwarekomponenten gebildet werden.
  15. Verfahren nach Anspruch 12, wobei die Konfigurationsdaten durch Konfigurationseinstellungen in mindestens einer Konfigurationsdatei des Produktion-Steuerrechners gebildet werden.
  16. Verfahren nach Anspruch 1 bis 15, wobei, falls die Sicherheitsüberprüfung ergibt, dass der Produktion-Steuerrechner (5) nicht in einem integeren Konfigurationszustand während des Produktion-Steuervorganges ist, eine Fehlerbehandlung erfolgt, wobei die Fehlerbehandlung das Abgeben einer Alarmmeldung, ein Anhalten des Herstellungsprozesses zur Herstellung der Produkte, eine Steigerung der Qualitätsprüfung der bei dem Herstellungsprozess hergestellten Produkte, eine Fehlerbenachrichtigung eines Produktionmanagementsystems oder das Einschreiben einer Fehlernachricht in einen oder in mehrere die hergestellten Produkte begleitende Datenträger umfasst.
  17. Verfahren nach Anspruch 1 bis 16, wobei die Sicherheitsüberprüfung vor, während oder nach dem Herstellungsprozess zur Herstellung der Produkte erfolgt.
  18. System (1) zur Herstellung von Produkten mit mindestens einem Produktion-Steuerrechner (5), der einen Produktion-Steuervorgang zur Herstellung der Produkte durchführt, wobei für den Produktion-Steuervorgang eine Sicherheitsüberprüfung durch eine Sicherheitsüberprüfungseinheit (6) erfolgt, welche verifiziert, ob sich der Produktion-Steuerrechner (5) während des Produktion-Steuervorganges in einem integeren Zustand befindet.
  19. System nach Anspruch 18, wobei die Sicherheitsüberprüfungseinheit (6) die Sicherheitsüberprüfung direkt durch Auswerten von Konfigurationsdaten des Produktion-Steuerrechners (5) oder indirekt durch Beobachten eines Kommunikationsverhaltens des Produktion-Steuerrechners (5) durchführt.
  20. System nach Anspruch 18, wobei durch eine Signalabzweigeinheit (14) Ein- und/oder Ausgabesignale des Produktion-Steuerrechners (5) rückwirkungsfrei erfasst und an einen zweiten identisch implementieren Produktion-Steuerrechner (5) übertragen werden, wobei die Sicherheitsüberprüfungseinheit (6) die Sicherheitsüberprüfung direkt durch Auswerten von Konfigurationsdaten des zweiten Produktion-Steuerrechners (5) oder indirekt durch Beobachten eines Kommunikationsverhaltens des zweiten Produktion-Steuerrechners (5) durchführt.
  21. System nach Anspruch 20, wobei der zweite Produktion-Steuerrechner (5) physikalisch identisch zu dem Produktion-Steuerrechner (5) aufgebaut ist oder virtuell identisch zu dem Produktion-Steuerrechner (5) auf einem Server implementiert ist.
  22. Sicherheitsüberprüfungseinheit (6) zur Ausführung einer Sicherheitsüberprüfung bei einem Produktion-Steuerrechner (5), welcher einen Produktion-Steuervorgang zur Herstellung von Produkten durchführt, wobei die Sicherheitsüberprüfungseinheit (6) zur Ausführung der Sicherheitsüberprüfung verifiziert, ob sich der Produktion-Steuerrechner (5) während des Produktion-Steuervorganges in einem integeren Zustand befindet.
  23. Sicherheitsüberprüfungseinheit nach Anspruch 22, wobei die Sicherheitsüberprüfung (6) direkt durch Auswerten von Konfigurationsdaten des Produktion-Steuerrechners (5) oder indirekt durch Beobachten eines Kommunikationsverhaltens des Produktion-Steuerrechners (5) erfolgt.
  24. Sicherheitsüberprüfungseinheit nach Anspruch 22 oder 23, wobei die Sicherheitsüberprüfungseinheit (6) in dem Produktion-Steuerrechner (5) enthalten oder mit dem Produktion-Steuerrechner (5) über ein Netzwerk verbunden ist.
  25. Produktion-Steuerrechner (5), der eine Sicherheitsüberprüfungseinheit (6) nach Anspruch 22 oder 23 enthält.
  26. Überwachungs-Produktion-Steuerrechner (5), wobei dem Überwachungs-Produktion-Steuerrechner (5) die Ein- und/oder Ausgabesignale oder Konfigurationsdaten eines überwachten Produktion-Steuerrechners (5) zugeführt werden und wobei der Überwachungs-Produktion-Steuerrechner (5) identisch zu dem überwachten Produktion-Steuerrechner (5) aufgebaut ist, wobei eine mit dem Überwachungs-Produktion-Steuerrechner (5) verbundene Sicherheitsüberprüfungseinheit (6) überprüft, ob sich der Überwachungs-Produktion-Steuerrechner (5) während eines Produktion-Steuervorganges des überwachten Produktion-Steuerrechners (5) in einem integeren Zustand befindet.
DE102009058518A 2009-12-16 2009-12-16 Verfahren und Vorrichtung zum Überwachen eines Produktion-Steuerrechners Withdrawn DE102009058518A1 (de)

Priority Applications (2)

Application Number Priority Date Filing Date Title
DE102009058518A DE102009058518A1 (de) 2009-12-16 2009-12-16 Verfahren und Vorrichtung zum Überwachen eines Produktion-Steuerrechners
PCT/EP2010/066971 WO2011082863A1 (de) 2009-12-16 2010-11-08 Verfahren und vorrichtung zum überwachen eines produktion-steuerrechners

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102009058518A DE102009058518A1 (de) 2009-12-16 2009-12-16 Verfahren und Vorrichtung zum Überwachen eines Produktion-Steuerrechners

Publications (1)

Publication Number Publication Date
DE102009058518A1 true DE102009058518A1 (de) 2011-06-22

Family

ID=43531025

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102009058518A Withdrawn DE102009058518A1 (de) 2009-12-16 2009-12-16 Verfahren und Vorrichtung zum Überwachen eines Produktion-Steuerrechners

Country Status (2)

Country Link
DE (1) DE102009058518A1 (de)
WO (1) WO2011082863A1 (de)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10031502B2 (en) 2015-03-27 2018-07-24 Rockwell Automation Germany Gmbh & Co. Kg I/O expansion for safety controller
US10025287B2 (en) * 2015-03-30 2018-07-17 Rockwell Automation Germany Gmbh & Co. Kg Method for assignment of verification numbers
US10197985B2 (en) 2015-10-29 2019-02-05 Rockwell Automation Germany Gmbh & Co. Kg Safety controller module

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4341082A1 (de) * 1993-12-02 1995-06-08 Teves Gmbh Alfred Schaltungsanordnung für sicherheitskritische Regelungssysteme
DE19802728A1 (de) * 1998-01-24 1999-07-29 Heidenhain Gmbh Dr Johannes Verfahren und Schaltungsanordnung zur Überwachung von Maschinenparametern

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE3546127A1 (de) * 1985-12-24 1987-06-25 Bosch Gmbh Robert Verfahren zur automatischen ueberpruefung von steuergeraeten
US6035416A (en) * 1997-10-15 2000-03-07 International Business Machines Corp. Method and apparatus for interface dual modular redundancy
US6845467B1 (en) * 2001-02-13 2005-01-18 Cisco Systems Canada Co. System and method of operation of dual redundant controllers
DE10348297B4 (de) * 2003-10-17 2010-05-27 Audi Ag Prüfvorrichtung für Steuergeräte eines Kraftfahrzeugs und Verfahren zum Prüfen von Steuergeräten eines Kraftfahrzeugs
US8099179B2 (en) * 2004-09-10 2012-01-17 GM Global Technology Operations LLC Fault tolerant control system
DE102008019195A1 (de) * 2008-04-17 2009-10-29 Beckhoff Automation Gmbh Verfahren zum Betreiben einer Sicherheitssteuerung und Automatisierungsnetzwerk mit einer solchen Sicherheitssteuerung

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE4341082A1 (de) * 1993-12-02 1995-06-08 Teves Gmbh Alfred Schaltungsanordnung für sicherheitskritische Regelungssysteme
DE19802728A1 (de) * 1998-01-24 1999-07-29 Heidenhain Gmbh Dr Johannes Verfahren und Schaltungsanordnung zur Überwachung von Maschinenparametern

Also Published As

Publication number Publication date
WO2011082863A1 (de) 2011-07-14

Similar Documents

Publication Publication Date Title
DE112004001716B4 (de) Verfahren zur Freigabe von Softwareobjekten zur Verwendung in einem sicherheitsgerichteten System und Freigabesystem für Softwareobjekte zur Verwendung in einem Prozesssteuersystem mit einem Prozessor
DE102018113625A1 (de) Fehlerinjektionstestvorrichtung und -verfahren
EP3543940A1 (de) Computerimplementiertes verfahren zum bereitstellen von daten, insbesondere für eine konformitätsverfolgung
EP3379351B1 (de) Verfahren zum betreiben einer automatisierungseinrichtung sowie automatisierungseinrichtung
WO2019042607A1 (de) System und verfahren zur kryptographisch geschützten überwachung wenigstens einer komponente eines geräts oder einer anlage
EP2447843B1 (de) Verfahren zur Verifizierung eines Anwendungsprogramms einer fehlersicheren Speicherprogrammierbaren Steuerung, und Speicherprogrammierbare Steuerung zur Ausführung des Verfahrens
DE102012218704A1 (de) Erkennung von schwachstellen für dom-basiertes cross-site-scripting
EP3264208A1 (de) Verfahren zum aktualisieren von prozessobjekten in einem engineerings-system
EP3709166B1 (de) Verfahren und system zur sicheren signalmanipulation für den test integrierter sicherheitsfunktionalitäten
EP3430558A1 (de) Erkennen einer abweichung eines sicherheitszustandes einer recheneinrichtung von einem sollsicherheitszustand
DE102011088236A1 (de) Verfahren zum sicheren Betreiben eines Feldgerätes der Prozessautomatisierungstechnik
DE102012001456A1 (de) Versionskontrolle für medizinische Anästhesiegeräte
EP1246033A1 (de) Verfahren zur Überwachung konsistenter Speicherinhalte in redundanten Systemen
DE102011011333B4 (de) Lesen in Peripheriegeräte und schreiben aus Peripheriegeräten mit zeitlich getrennter, redundanter Prozessorausführung
DE102009058518A1 (de) Verfahren und Vorrichtung zum Überwachen eines Produktion-Steuerrechners
EP3232327B1 (de) Verfahren zum testen eines steuerprogramms eines steuergeräts in einer simulationsumgebung auf einem rechner
EP3291094A1 (de) Prozessorsystem und verfahren zur überwachung von prozessoren
DE102011007467A1 (de) Mehrkernige integrierte Mikroprozessorschaltung mit Prüfeinrichtung, Prüfverfahren und Verwendung
DE102015002717A1 (de) Numerische Steuerung
EP2182331A1 (de) Auslagerung einer Komponente mit Auswirkung auf die Sicherheitsfunktion aus dem sicherheitsrelevanten Bereich
EP3486825A1 (de) Verfahren und vorrichtung zum rechnergestützten bestimmen eines schweregrads einer festgestellten verletzung der integrität
DE102019219870A1 (de) Integritätsüberwachung einer Recheneinheit
WO2023186516A1 (de) Verfahren zur implementierung einer automatisierungsfunktionalität auf einer automatisierungskomponente mit programmierbarer automatisierungsfunktionalität und system
EP3388944A1 (de) Verfahren zur fehlererkennung in einem betriebssystem
EP4181000A1 (de) Verfahren und rechenumgebung zum erstellen und anwenden eines prüfalgorithmus für rechenvorgänge

Legal Events

Date Code Title Description
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee

Effective date: 20140701